עמוד הבית > טכנולוגיה ומוצרים > מחשבים ואינטרנט


תקציר
המאמר דן בבעיית אבטחת מידע במחשבים ובתופעת חדירות לא חוקיות למחשבים של אירגונים. המאמר סוקר גישות שונות לאבטחת מידע.



מאבטחים ופורצים : עימות מתמשך
מחבר: אריה חשביה


מידע נגיש ומוגן הוא לב ליבו של כל ארגון. ההתפתחות המואצת של האינטרנט גילתה פרצות רבות ב"כספות" של ארגונים ציבוריים ועסקיים. המציאות חשפה מאבק מתמיד בין הטובים (מאבטחים) והרעים (פורצים). הגנה נקודתית או הגנה משולבת. מה יעיל יותר ומה כלכלי יותר.


 

רקע


משחר האנושות ידעו שליטים ואנשי עסקים שמידע הוא כוח. משום כך השקיעו מאמצים רבים באבטחתו. דרך ארוכה עשתה אבטחת המידע מכתב החרטומים המצרי שהצפין את המידע, על פני מגירת סתרים בשולחן הכתיבה, אל הכספת והצופן. המחשב – ובמיוחד תקשורת המחשבים - מכביד על אבטחת המידע, משום שאנשים לא מורשים יכולים לגשת אל מחשב באין רואים, או לחדור אליו מרחוק. כל עוד היו הדברים אמורים במחשב מרכזי גדול (מיינפריים), שהמסופים שלו היו "טיפשים" (בלי מערכת הפעלה ובלי תוכנות יישומיות), היה צריך לאבטח רק אותו. תקשורת המחשבים אפשרה למחשבים אישיים עצמאיים להיות מקושרים למאגרי המידע הגדולים שבמחשב המרכזי. נוצר הצורך לאבטח את רשת התקשורת. לצורך אבטחה פותחו אמצעים שונים, הן בתחום החומרה והן בתחום התוכנה. בנוסף לכך, גובשה מערכת של הרשאות (למי מותר לגשת אל איזה מידע באיזה מחשב) ומערכת של סיסמאות אישיות (כדי לוודא שרק המורשה ייהנה מן הנגישות שהועמדה לרשותו).

ואז פרץ האינטרנט לעולם המחשוב. רשת התקשורת הגלובלית מחקה מרחקים וגבולות ואפשרה לכל מחשב בכל מקום בעולם להתקשר עם כל מחשב אחר, אם באמצעות שרת של ספק אינטרנט ואם דרך שרת של הארגון. השרת הארגוני אפשר ליצור את האינטראנט: רשת תקשורת ייחודית המקשרת את מחשבי הארגון באשר הם שם. באינטראנט צריך לאבטח כל מחשב אישי, את התקשורת שבינו ובין המחשב המרכזי של הארגון, ואת המחשב המרכזי, שאפשר להתקשר איתו מרחוק. כדי לאפשר לשני ארגונים, שקיים ביניהם שיתוף פעולה הדוק, לקיים תקשורת מחשבים זה עם זה, נוצרה רשת האקסטראנט. כדי לקיים את הקשר בין רשתות שונות באקסטראנט היה צריך לפתח כלים שיאפשרו למורשים בשתי הרשתות לחולל סיסמאות חד פעמיות (שכמעט לא ניתן לפצחן בעוד מועד) כדי להיכנס זה לרשת של זה. למערכת הזאת קוראים VPN - ראשי תיבות של Virtual Private Network: רשת פרטית מדומה (וירטואלית).


 

אבטחה – עניין של תודעה


בשנים האחרונות גדל והולך מספר המקרים של חדירות לא חוקיות למחשבים של ארגונים, אם למשיכת כספים, אם לגניבת מידע ואם לביצוע חבלה במאגר המידע של ארגון על ידי ארגון מתחרה או על ידי סחטנים. ארגון שמטפל באבטחת המידע שלו בגישה של "מכבי-אש" משקיע את כספו בפתרונות נקודתיים שלא בהכרח יועילו למקרי פריצה בעתיד. "אבטחת מערכות מידע אינה יכולה להיות מטופלת בלהט הרגע ולצורך השעה", אומרת נעמי אברמסון, מנהלת תחום שירותי ייעוץ אבטחת מידע באגף טכנולוגיה ותשתית של תדיראן מערכות מידע. "ביטחון מערכות מידע היא דרך חיים ניהולית המשולבת בכל שיטת ניהול הנהוגה בארגון, וחייבת להיות חלק בלתי נפרד מתרבות הארגון. אין די במינוי אדם לתפקיד מנהל אבטחת מידע, או ביישום כלים טכניים לאבטחת מערכות המידע. אין אדם בעל ידע וניסיון בכל אמצעי הפריצה והאבטחה המתפתחים במהירות מסחררת, ואין כלי טכני – תוכנה או חומרה - שמעניק אבטחה מקיפה למערכת המידע של ארגון", מוסיפה אברמסון ומציינת: "באבטחת מידע יש לטפל באותה דרך שבה מטופל כל נושא מקצועי בארגון, ולא כתשלום מס שפתיים בלבד – לומר 'עשינו משהו בנדון' ולצאת בכך ידי חובה".

זאת ועוד: אבטחת מערכות מידע אינה משימה חד פעמית. כל שינוי במגמות הארגון, בטכנולוגיה, במיקום, באיוש תפקידים, במערכות המידע, בחוקים ובנהלי עבודה, מחייב עדכון של מערך האבטחה. לכך דרוש צוות מקצועי רב תחומי המתמחה באבטחת מידע על כל היבטיה: תוכנה, חומרה, תקשורת מחשבים, טכנולוגיה, חוקים, תקנות, נהלים וחידושים בתחום הפריצה והחדירה למערכות מחשב.

תחום התקשורת תופס מקום גדל והולך בעולם המחשוב. התחומים הצוברים תאוצה בו כוללים את האינטרנט, את הסחר האלקטרוני, את השימוש ברשתות תקשורת ציבוריות למערכות טלפוניה ניידות (סלולריות), ואת השימוש במאגרי מידע מבוזרים. ככל שהמידע נעשה נגיש יותר והאמצעים להשיגו נעשים פשוטים יותר, כך גדל הסיכון להישרדותו של מערך המחשוב, לחשיפת מידע, לגניבתו לשיבושו ולביצוע עבירות מחשב אחרות.


 

חומת אש פלוס


ישראל נמנית עם המובילות בעולם בפיתוח כלים לאבטחת מידע. חברת צ'ק-פוינט מככבת בכל דיון בנושא זה, הודות ל"חומת האש" שהיא פיתחה ואשר חוצצת בין מערך המחשוב של ארגון לבין העולם החיצון.

גם "חומת האש" אינה חסינה לגמרי: אפשר לגבור עליה באמצעות וירוסים, איתור כללים לא נכונים ביישומה, פריצה למערכת ההפעלה שעליה מותקנת "חומת האש", שימוש בדפדפנים - browsers - המאפשרים קריאת קבצים מדיסק מקומי, באגים בתוכנת "חומת האש" עצמה, ועוד.

כיוון ש"חומת אש" מפקחת רק על הכניסות והיציאות של הרשת שעליה היא מופקדת, נוצר הצורך להוסיף לה נדבך כדי להדק את האבטחה. את הדבר הזה מפתחת חברת רד-גארד הישראלית. מוצריה, המאבטחים רשתות וירטואליות פרטיות - VPN - צוינו לשבח על ידי כתב העת המקצועי היוקרתי "דאטה קום" וקיבלו את "הסרט הכחול", הפרס המכובד של Network World. חברת המחקר Infonetics, המתמחה בענף התקשורת הממוחשבת, הגדירה את רד-גארד כמובילה בעולם בשוק ה- VPN. תעשיית הרכב הגרמנית אימצה לעצמה את מוצרי האבטחה של רד-גארד, המאבטחים גם את מסלקת הבנקים בסקנדינביה.

אלעד שביב, סגן נשיא לשיווק של רד-גארד, מסביר את הצלחת החברה שהיא פועלת בתחום שבו לא היתה אבטחה בכלל, או שהאבטחה היתה יקרה מדי או לא הרמטית די הצורך. הטריק הוא שמוצרי רד-גארד מוציאים את החלטת ההרשאה בדבר כניסות ויציאות ברשת המחשבים מידי המשתמש, שאינו צריך עוד לזכור למי הוא שולח מה. המערכת מטפלת במבוך ההרשאות. המוצר של רד-גארד מורכב מקופסת תקשורת חכמה המותקנת במרכז ומחבילות תוכנה שמופעלות במחשבים האישיים הקשורים למרכז. "לקוחות שמעוניינים בתוספת אבטחה מקבלים מאיתנו גם חומת-אש", אומר שביב ומציין אגב כך את השותפות האסטרטגיות של רד-גארד וחברת צ'קפוינט.

אנליסטים מעריכים שרד-גארד, שנכנסה לתחום VPN ב- 1994 וצברה את תנופתה העיקרית מאז 1998, ניצבת בשלישיה המובילה בעולם בתחום זה. למוצריה – ש- 98 אחוז מהם מיוצאים - צופים הצלחה שתגדל ככל שיתפשט הסחר האלקטרוני ב"כפר הגלובלי" של האינטרנט.


 

דרוש פתרון משולב


כיום יש בשוק מגוון עשיר של פתרונות חלקיים לבעיית אבטחת המידע במערכות מחשב. לרוב הבעיות ניתן למצוא פתרון נקודתי. רק שילוב נכון של פתרונות שונים עשוי לספק אבטחה מיטבית. בין האמצעים הקיימים כיום בתחום אבטחת המידע, מציינים מומחים את הכלים לזיהוי ואימות הזיהוי במערכות מרובות משתמשים ובאינטרנט: כרטיס חכם, מחוללי סיסמאות וניהול סיסמאות ברמת מערכת ההפעלה, זיהוי ביומטרי (של כף יד או עין), הצפנה; אבטחת תקשורת, איתור פרצות וחדירות, הגנה על משאבי מערכת ההפעלה; ניהול אבטחת מידע ברמת השירות היישומי; בדיקת מדיניות אבטחת המידע בארגון - ועוד.

הבעיה המרכזית בתחום הפתרונות היא, שלרובם עדיין אין תקן מחייב. בעיה אחרת היא הצורך בהתעדכנות מתמדת ורציפה בבעיות אבטחת מידע חדשות, בטכנולוגיות חדשות ובפתרונותיהן.

המציאות מלמדת שגם מערך האבטחה המדוקדק ביותר עלול להיפרץ על ידי פורץ ("האקר") מתוחכם. במקרים כאלה נדרשת חקירת מחשב - תחום מקצועי המתפתח והולך בשנים האחרונות. במשטרת ישראל
לדוגמה, הוקמה יחידת חקירות מחשב, אשר פיתחה מתודולוגיה לצורך זה. יחידה זו משתדלת להתעדכן
ברציפות בכל הנוגע לכלי אבטחה ופריצה בעולם המחשוב.

כלים לפריצת מחשבים עומדים לרשות ההאקרים באתרי אינטרנט רבים. התוכנות ההתחלתיות אמורות לפצח סיסמאות. אלו נקראות crackers (מפצחות) והן מחוללות סיסמאות במהירות גבוהה. כלי אחר נקרא sniffer (רחרחן). כלי זה מתעד את תעבורת הרשת ומאתר פרצות. במערכות מידע רבות משאירים מפתחי המערכות "דלת אחורית" שתאפשר גישה במקרה שלא תתאפשר גישה מהדלת הראשית. האקרים מנסים לאתר את הדלת האחורית. לשם כך הם משתמשים בסורקים – scanners. וזאת רק ההתחלה. במלחמה כמו במלחמה, והיום הגישה הרווחת היא שימוש בכלים של האקרים כדי להילחם בפורצי מחשבים.

במקביל חלה התקדמות רבה בתחום פתרונות אבטחת המידע, החל מחומרה (בתחום זה נמנית אלדין הישראלית, בין המובילות בעולם), עבור דרך מחוללי סיסמאות לצורך זיהוי ואימות זיהוי, ומערכות הצפנה כמו אלו של חברת אליראו הישראלית, וכלה ב"חומת אש" – Fire Wall - החוסמת את הגישה לרשת המחשבים של הארגון.

אבטחת מידע בארגון הופכת לרכיב מרכזי באבטחת משאבי המידע של הארגון, שהם סוד כוחו והמפתח לשרידותו בשוק התחרותי בן זמננו. רק ארגונים שירכשו פתרונות אשר ייתנו מענה לרוב הבעיות, אם לא לכולן יוכלו לשרוד. פתרון אבטחת המידע חייב להיות מקיף, מרכזי ואינטגרטיבי. כדי לקיים מערכת מיטבית של אבטחת מידע יש צורך בצוות מקצועי רב תחומי, בעל ניסיון מוכח באבטחת מידע. במקרים נדירים מאוד יכול ארגון להחזיק צוות כזה מבית. הפתרון המיטבי הוא - מיקור חוץ (outsourcing): העסקת גוף חיצוני המעסיק
מקצוע בכל התחומים הקשורים לאבטחת מידע.






אל האסופה ישראל - האדם והמרחב : נושאים נבחרים בגיאוגרפיה3

ביבליוגרפיה:
כותר: מאבטחים ופורצים : עימות מתמשך
מחבר: חשביה, אריה
שם  החוברת: היי טק המילניום
עורכי החוברת: ביגלמן, שמעון; חשביה, אריה
תאריך: 1999
הוצאה לאור: שוקן
הערות: 1. החוברת יצאה לאור בדצמבר 1999.

הספרייה הוירטואלית מטח - המרכז לטכנולוגיה חינוכית